HAProxy的高级配置选项-ACL篇之基于域名匹配案例
作者:尹正杰
版权声明:原创作品,谢绝转载!否则将追究法律责任。
一.ACL概述
acl: 对接收到的报文进行匹配和过滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作。 官方文档:http://cbonte.github.io/haproxy-dconv/1.8/configuration.html#7 ACL语法如下: acl <aclname> <criterion> [flags] [operator] [<value>] ... acl 名称 条件 条件标记位 具体操作符 操作对象类型
示例: acl my_acl hdr_dom(host) -i node106.yinzhengjie.org.cn
1>.ACL名称
可以使用大字母(A-Z),小写字母(a-z),冒号(":"),点("."),中横线("-")和下划线("_");并且严格区分大小写,比如"my_acl"和"My_acl"完全是两个不同的acl。
2>.ACL derivatives
hdr([<name> [,<occ>]]):
完全匹配字符串 hdr_beg([<name> [,<occ>]]):
前缀匹配 hdr_dir([<name> [,<occ>]]):
路径匹配 hdr_dom([<name> [,<occ>]]):
域匹配 hdr_end([<name> [,<occ>]]):
后缀匹配 hdr_len([<name> [,<occ>]]):
长度匹配 hdr_reg([<name> [,<occ>]]):
正则表达式匹配 hdr_sub([<name> [,<occ>]]):
子串匹配
3>.Criterion-acl
<criterion> : 匹配条件 dst: 目标IP dst_port: 目标PORT src: 源IP src_port: 源PORT hdr <string>: 用于测试请求头部首部指定内容 hdr_dom(host): 请求的host名称,如www.yinzhengjie.org.cn hdr_beg(host): 请求的host开头,如www. img. video. download. ftp. hdr_end(host): 请求的host结尾,如.com .net .cn path_beg: 请求的URL开头,如/static、/images、/img、/css path_end: 请求的URL中资源的结尾,如.gif .png .css .js .jpg .jpeg
4>.flags
<flags>:
-条件标记 -i:
不区分大小写 -m:
使用指定的pattern匹配方法 -n:
不做DNS解析 -u:
禁止acl重名,否则多个同名ACL匹配或关系
5>.operator(操作符)
整数比较:
eq:
等于
ge:
大于等于
gt:
大于
le:
小于等于
lt:
小于
字符比较: -exact match (-m str):
字符串必须完全匹配模式 -substring match (-m sub):
在提取的字符串中查找模式,如果其中任何一个被发现,ACL将匹配 -prefix match (-m beg):
在提取的字符串首部中查找模式,如果其中任何一个被发现,ACL将匹配 -suffix match (-m end):
将模式与提取字符串的尾部进行比较,如果其中任何一个匹配,则ACL进行匹配 -subdirmatch (-m dir):
查看提取出来的用斜线分隔("/")的字符串,如果其中任何一个匹配,则ACL进行匹配 -domain match (-m dom):
查找提取的用点(".")分隔字符串,如果其中任何一个匹配,则ACL进行匹配
6>.value
<value>的类型如下: -Boolean 布尔值false,true -integer or integer range: 整数或整数范围,比如用于匹配端口范围,1024~32768 -IP address/network: IP地址或IP范围, 192.168.0.1 ,192.168.0.1/24 -string exact: 精确比较 substring: 子串 suffix: 后缀比较 prefix: 前缀比较 subdir: 路径,/wp-includes/js/jquery/jquery.js domain: 域名,如www.yinzhengjie.org.cn -regular expression: 正则表达式 -hex block: 16进制
7>.Acl定义与调用
多个acl作为条件时的逻辑关系: 与: 隐式(默认)使用,如"if valid_src valid_port" 或: 使用"or"或"||"表示,如"if invalid_src || invalid_port" 否定: 使用"!"表示,如"if ! invalid_src"
二.HAProxy基于域名匹配实战案例
1>.编辑haproxy的配置文件
[root@node102.yinzhengjie.org.cn ~]# cat /etc/haproxy/haproxy.cfg global maxconn 100000 chroot /yinzhengjie/softwares/haproxy stats socket /yinzhengjie/softwares/haproxy/haproxy.sock mode 600 level admin user haproxy group haproxy daemon nbproc 2 cpu-map 1 0 cpu-map 2 1 nbthread 2 pidfile /yinzhengjie/softwares/haproxy/haproxy.pid log 127.0.0.1 local5 info defaults option http-keep-alive option forwardfor option redispatch option abortonclose maxconn 100000 mode http timeout connect 300000ms timeout client 300000ms timeout server 300000ms listen status_page bind 172.30.1.102:8888 stats enable stats uri /haproxy-status stats auth admin:yinzhengjie stats realm "Welcome to the haproxy load balancer status page of YinZhengjie" stats hide-version stats admin if TRUE stats refresh 5s frontend WEB_PORT_80 bind 172.30.1.102:80 mode http #定义ACL acl my_pc_page hdr_dom(host) -i pc.yinzhengjie.org.cn acl my_mobile_page hdr_dom(host) -i mobile.yinzhengjie.org.cn #调用ACL use_backend pc_web if my_pc_page use_backend mobile_web if my_mobile_page #如果前面的ACL都没有匹配成功就访问默认的ACL default_backend backup_web backend pc_web server web01 172.30.1.106:80 check inter 3000 fall 3 rise 5 backend mobile_web server web02 172.30.1.107:80 check inter 3000 fall 3 rise 5 backend backup_web server web03 172.30.1.108:80 check inter 3000 fall 3 rise 5 [root@node102.yinzhengjie.org.cn ~]# [root@node102.yinzhengjie.org.cn ~]# systemctl restart haproxy #别忘记重启haproxy使得配置文件生效,启动成功后可以观察状态页,观察服务是否正常,如下图所示。 [root@node102.yinzhengjie.org.cn ~]#
2>.编辑window客户端的本地文件解析记录,如下图所示。
3>.浏览器访问"http://pc.yinzhengjie.org.cn/",如下图所示。
4>.浏览器访问"http://mobile.yinzhengjie.org.cn/",如下图所示。
5>.浏览器访问"http://node.yinzhengjie.org.cn/",如下图所示。
